Hoa Kỳ:Hàng loạt lỗ hổng đe dọa hệ thống an ninh thông tin của DHS

Báo cáo kiểm toán do Văn phòng Tổng Thanh tra Hoa Kỳ (OIG) công bố ngày 07/3/2018 dưới tiêu đề: "Đánh giá Chương trình an ninh thông tin của Bộ An ninh nội địa Hoa Kỳ (DHS) cho năm tài khóa 2017" đưa ra cảnh báo, hệ thống an ninh thông tin của DHS đang có những lỗ hổng bảo mật lớn cần sớm được khắc phục, đồng thời, khuyến nghị DHS áp dụng ngay những biện pháp cần thiết để tránh rủi ro đối với an toàn dữ liệu.

 
Báo cáo kiểm toán của OIG nhận định, DHS chưa thực hiện cài đặt một số cấu hình cần thiết cho việc bảo vệ hệ thống. Cơ quan này tiếp tục sử dụng các hệ điều hành không được hỗ trợ, không thể vá những lỗ hổng thông tin nghiêm trọng một cách kịp thời, không giám sát giấy phép phần mềm trên các hệ thống chưa được phân loại và không có phương án kế hoạch tốt để khôi phục sau những sự cố gián đoạn dịch vụ.

OIG cho biết, tính đến ngày 30/6/2017, DHS có tới 64 hệ thống hoạt động không hợp lệ dựa trên các tiêu chí về an ninh của Chính phủ. Trong đó, 16 hệ thống được phân loại là những hệ thống an ninh quốc gia. Tuy kết quả kiểm toán năm 2017 cho thấy hệ thống an ninh thông tin của DHS có sự cải thiện hơn so với năm 2016 nhưng OIG vẫn cảnh báo, những nguy cơ tiềm ẩn, gây ảnh hưởng tới an toàn dữ liệu có thể xảy ra và khuyến nghị DHS cần nhanh chóng có những biện pháp xử lý kịp thời.

Theo Báo cáo, lý do quan trọng nhất mà DHS không đạt được mục tiêu an ninh của mình là do thiếu những nhân tài về quản lý an ninh hệ thống. Ngoài ra, OIG cũng chỉ ra một số điểm yếu về an ninh thông tin như: các thư mục trao đổi được lập chỉ mục trong chế độ bộ nhớ cache, nghĩa là email của người dùng có thể được truy cập nếu máy tính bị xâm phạm; khâu kiểm tra đăng ký không được kích hoạt thường xuyên, điều này dẫn đến việc có thể thay đổi đăng ký ngay trên cửa sổ Window; chế độ truy cập nặc danh vào các ổ đĩa mạng nội bộ chung không phải lúc nào cũng được tắt.

Bên cạnh đó, OIG chỉ trích DHS vẫn tiếp tục sử dụng các hệ điều hành không được hỗ trợ, điển hình là việc sử dụng Windows Server 2003 khi mà Microsoft đã ngừng hỗ trợ từ tháng 7/2015. OIG cũng lưu ý rằng, các máy trạm Windows tại DHS thiếu một loạt bản vá lỗi. "Hệ điều hành Windows 2008 và 2012 thiếu các bản vá bảo mật cho Oracle Java, một phiên bản Internet Explorer không được hỗ trợ và một phiên bản dễ bị tổn thương của các ứng dụng Sidebar và Gadgets của Microsoft. Một số máy trạm Windows 8.1 và Windows 7 thiếu các bản vá bảo mật quan trọng, bao gồm: bản sửa lỗi, các bản cập nhật trình duyệt khác nhau và các bản vá lỗi cho các lỗi Adobe Flash, Shockwave và Acrobat” - Báo cáo cho biết.

Qua kết quả kiểm toán, OIG kết luận rằng, những thiếu sót trên trái ngược với Lệnh điều hành an ninh mạng của Tổng thống, điều này đòi hỏi DHS cần phải giám sát an ninh thông tin hiệu quả hơn: "Nếu DHS không vượt qua những thách thức để giải quyết các điểm yếu về bảo mật hệ thống thông tin của mình thì hệ thống thông tin của DHS với những dữ liệu nhạy cảm được lưu trữ không thể được bảo vệ một cách đầy đủ" - OIG cảnh báo.

Nhằm tăng cường công tác giám sát trong thực hiện chương trình an ninh thông tin của DHS, OIG đã đưa ra 5 khuyến nghị. Cụ thể, DHS cần áp dụng các biện pháp để giảm nhẹ những điểm yếu về an ninh cho hệ thống an ninh quốc gia theo các chính sách hiện hành; lập kế hoạch hành động nhằm giải quyết những lỗ hổng trong vấn đề thẩm quyền bảo mật thông tin, tăng cường giám sát các chỉ số thực hiện chính; xem xét, đánh giá lại các hệ thống thông tin nhằm giám sát liên tục các chiến lược về bảo quản tài sản phần mềm và giấy phép được sử dụng; thực hiện các biện pháp kiểm soát và đánh giá chất lượng để đảm bảo các dữ liệu đầu vào về an ninh thông tin đối với các hệ thống quản lý DN của DHS là hoàn chỉnh và chính xác; dừng việc sử dụng các hệ thống điều hành không được hỗ trợ.      

Phản hồi lại các kết quả kiểm toán của OIG, phát ngôn viên DHS cho biết, Bộ hoàn toàn đồng tình với các khuyến nghị và cam kết sẽ nỗ lực khắc phục, giải quyết những vấn đề được chỉ ra trong Báo cáo kiểm toán trước tháng 9/2018.

(Theo OIG và The Register)   
(Báo Kiểm toán số 17+ 18